A proteção de APIs no centro da cibersegurança moderna

Na era digital, APIs conectam tudo: bancos, e-commerce, fintechs, logística, saúde e governos. Essa integração, que impulsiona a inovação e a experiência do usuário, também abre portas para ataques cada vez mais sofisticados, bots maliciosos e fraudes digitais. Diante desse cenário, a Nova8 apresenta a entrevista exclusiva com Fernando Salla, Sales Director LATAM da Cequence Security, referência internacional em API Security e Bot Management.

A seguir, você confere as perguntas e respostas originais, com insights valiosos sobre tendências, riscos e diferenciais da Cequence, solução líder global distribuída pela Nova8 no Brasil.

Perguntas e respostas completas com Fernando Salla

1. Fernando, como você interpreta a criticidade da segurança de APIs no cenário das empresas brasileiras hoje?
Fernando Salla:
As APIs deixaram de ser apenas parte técnica da infraestrutura, hoje elas são vias expressas do negócio, protagonistas da transformação digital. No entanto, muitas empresas ainda não têm clareza sobre quais APIs estão em uso, onde estão expostas e se estão devidamente protegidas. Isso é extremamente crítico.
Nossos dados mostram que 53% das organizações sofrem três ou mais ataques contra APIs por mês e 80% de todo tráfego automatizado malicioso já mira APIs. No Brasil, a corrida para modernizar aplicações, integrar serviços e lançar produtos digitais muitas vezes não é acompanhada por um controle efetivo sobre essas interfaces.

Isso abre espaço para ataques silenciosos, exploração de lógica de negócio e vazamentos de dados sensíveis, muitas vezes passando despercebidos até se tornarem um incidente. O primeiro passo é ter visibilidade total (identificar desde APIs Shadow, Zombie, até aquelas que nem deveriam mais estar expostas) e, a partir daí, aplicar uma proteção contínua e inteligente.

 

2. A gente ouve falar muito sobre bots maliciosos. Como eles se relacionam com APIs e por que representam um risco tão relevante?
Fernando Salla:
Hoje, mais de 50% do tráfego na internet é gerado por bots, e uma boa parte é maliciosa. Bots são o “braço operacional automatizado” do cibercrime. Eles atacam diretamente APIs para realizar fraudes, roubo de dados, ATO (Account Takeover), scraping, manipulação de preços, esgotamento de estoques e muito mais.

O problema é que esses bots estão cada vez mais sofisticados. Eles usam redes com mais de 35 milhões de IPs ativos, sendo responsáveis por até 1,2 bilhão de requisições maliciosas mitigadas semanalmente. Isso mostra que bloqueios simples por IP ou CAPTCHA não são mais suficientes.

A diferença está em usar uma abordagem baseada em fingerprinting comportamental e inteligência de intenção, capaz de diferenciar usuários legítimos de bots, mesmo quando eles se disfarçam muito bem, tudo isso sem gerar fricção na experiência dos clientes.

 

3. O que mais te chama atenção na abordagem da Cequence em comparação com outras soluções de mercado?
Fernando Salla:
Sem dúvida, o maior diferencial é a plataforma unificada de proteção de APIs e bots, da descoberta até a defesa em tempo real, sem necessidade de agentes, SDKs ou mudanças na aplicação.

Além disso, a Cequence foi a primeira a incorporar a proteção contra Shadow AI (APIs expostas por agentes de inteligência artificial como ChatGPT, Copilot e Gemini) além da detecção de APIs Shadow e Zombie tradicionais.
Outro ponto muito forte é a geração automática de documentação OpenAPI, detecção de dados sensíveis via NLP e a possibilidade de mitigar ataques em tempo real, sem intervenção humana. É uma solução que une API Security, Bot Management e agora Agentic AI Protection, tudo em um só lugar.

 

4. A segurança ainda na fase de desenvolvimento é um conceito que vem ganhando força. Como isso se aplica no dia a dia?
Fernando Salla:
Exato, isso é o chamado “Shift Left”, e é essencial. A ideia é testar as APIs antes de irem para produção, diretamente na esteira de CI/CD, verificando se seguem padrões de segurança, conformidade com OWASP API Top 10 e até OWASP LLM Top 10, no caso de integrações com IA.

Mas é fundamental reforçar que segurança no desenvolvimento não substitui a proteção em runtime. O ciclo completo envolve proteger tanto na pré-produção quanto no ambiente em produção, com respostas automatizadas, mitigação de ataques e análise contínua.

 

5. A ferramenta chamada API Spyder tem despertado curiosidade. O que ela faz exatamente?
Fernando Salla:
O API Spyder funciona como se fosse o “olho do atacante”. Ele faz uma varredura externa e identifica APIs expostas na internet, inclusive aquelas esquecidas, mal configuradas, APIs de teste, endpoints legados e até especificações OpenAPI públicas que nunca deveriam estar visíveis.

Ele permite que as empresas vejam seu ambiente sob a ótica de um invasor, trazendo uma camada de segurança proativa, capaz de antecipar e eliminar riscos antes que sejam explorados.

 

6. Para uma empresa que ainda não tem esse nível de visibilidade sobre suas APIs, por onde você recomenda começar?
Fernando Salla:
A resposta é direta: visibilidade é a base de tudo. Não se protege o que não se conhece. APIs Shadow, Zombie e até APIs públicas mal documentadas são porta de entrada para ataques.

Com a Cequence, em menos de 20 minutos após a ativação, já é possível descobrir APIs ativas, Shadow e Zombie, sem precisar de agentes, SDKs ou qualquer modificação na aplicação. Além disso, a plataforma gera automaticamente as especificações OpenAPI e aponta quais APIs estão expondo dados sensíveis ou estão sob ataque.

A partir daí, aplicamos políticas de segurança baseadas em risco e entramos num ciclo contínuo de proteção, mitigação e governança.

 

7. Com a inteligência artificial entrando tanto nos ataques quanto nas defesas, como você vê o futuro da proteção de APIs?
Fernando Salla:
O futuro da segurança de APIs é totalmente IA-driven e adaptativo. Estamos vendo o surgimento de Shadow AI, APIs expostas por integrações com ferramentas de IA que nem sempre passam pela governança de TI.
Ao mesmo tempo, os ataques estão ficando mais sofisticados, usando IA generativa e agentes autônomos para encontrar vulnerabilidades, executar fuzzing massivo e até abusar da lógica de negócio.

A defesa, portanto, precisa ser tão inteligente quanto: detectar anomalias, analisar comportamento, aprender continuamente e responder em tempo real. E é exatamente aí que a Cequence se destaca, sendo a primeira plataforma a proteger não só APIs tradicionais, mas também interações com agentes de IA, evitando vazamento de dados sensíveis, exploração de APIs e fraudes baseadas em IA.

O futuro não é só proteger APIs, é proteger tudo o que interage com APIs, sejam usuários, bots ou inteligências artificiais.

 

Cequence e Nova8: inovação contínua na proteção de APIs e bots

A Cequence, distribuída pela Nova8, entrega uma abordagem inovadora, unificada e proativa para API Security, Bot Management e Agentic AI Protection. Empresas que buscam visibilidade, resposta em tempo real e proteção adaptativa encontram na Cequence uma solução líder, fácil de implementar e sem fricção.

A Nova8 é a única distribuidora da América Latina mencionada no Gartner Market Guide for IT Distributors e atua como Trusted Advisor em toda a jornada de cibersegurança. Apoia revendas e empresas com soluções premiadas, suporte técnico, capacitação e centro de excelência pós-venda.

Quer saber como implementar proteção avançada de APIs e bots, com visibilidade total e mitigação inteligente de riscos?

Agende um bate-papo consultivo com nossos especialistas